데이터 및 결제를 안전하게 입력 할 수있는 곳-SS, 암호화

1) 기본 사이트 보안 최소

TLS 만 1. 2/1. 3 (아니오 1. 0/1. 1).
현대 암호: AES-GCM 또는 ChaCha20-Poly1305가있는 ECDHE (펜. 모바일에서).
PFS (Perfect Forward Secrecy) - "ере" ECDHE.
유효한 인증서를 사용할 수 없습니다.
HSTS (+ 바람직하게는 미리로드 됨): HTTPS의 하드 시행.
예외없이 HTTP에서 HTTPS로 리디렉션했습
인증서 투명성 (SCT) - 인증서 세부 사항에 표시됩니다.

2) 30-60 초 안에 인증서를 확인하는 방법

1. "잠금" → 인증서를 클릭하십시오

= SAN (정확한 도메인/서브 도메인) 으로 발행되었습니다.
인식 가능한 CA 발행.
마감일이 만료되지 않거나 "내일" 이 아닙니다.
2. 데 도구 → 보안:

• TLS 1. 2/1. 3, ECDHE... AES-GCM/ChaCha20.
• "혼합 컨텐츠" 없음 (HTTPS 페이지의 HTP 사진/스크립트).
• 3. 결제 페이지를 엽니 다: 양식 도메인이 사이트와 일치하거나 iframe에서 잘 알려진 PSP입니다.

3) 보호 지불: 표준으로 간주되는 것

PCI DSS: 사이트는 호스팅 된 필드/iframe PSP 내부의 카드 필드 인 PAN/CVV 자체를 수집하지 않거나 공급자의 결제 페이지로 리디렉션합니다.
토큰 화: 카드가 토큰으로 바뀝니다. 이 사이트는 "last4" 만 저장하고 토큰은 절대 CVV를 저장하지 않습니다.
3D 보안 2. x/SCA: 은행에서 확인/생체 인식을 푸시하십시오.
Apple Pay/Google Pay: 네트워크 토큰, 최소한의 수동 입력.
은행 계좌 방법 (PayID/Osko 등): 정확한 세부 정보 및 신용 확인이 표시됩니다. "채팅에 카드 화면을 보내라는 요청이 없습니다".
암호화 결제: 주소/QR은 PSP 페이지에서 생성되고, 금액/네트워크가 등록되며, 네트워크 및 수수료에 대한 경고가 있습니다.

4) 세션 및 로그인

Passkeys/FIDO2 또는 2FA (TOTP/app, FIDO 키; SMS는 대체품입니다).
'Secure', 'HttpOnly', 'SameSite = Lax/Strict'; 타임 아웃으로 자동 로그아웃.
장치 관리: 활성 세션 목록, "모든 장치에서" 종료
전자 메일/푸시로 비밀번호 로그인/변경 경고

5) 프론트 엔드 및 백엔드 보호 (간접 마커)

CSP (Content-Security-Policy), X-Content-Type-Options, Referrer-Policy, 프레임 조상 (clickjacking).
결제 페이지에 타사 "왼쪽" 스크립트가 없습니다 (스키머 방지/Magecart).
제한/마스킹 데이터: 프로필에는 "last4" 및 위장 된 전자 메일/전화 만 표시됩니다.

6) CCM/문서-안전하게로드하는 방법

보안 캐비닛을 통해서만 (HTTPS/SL 1. 2 +) 로더 사용; 채팅/메일로 문서를 보내지 마십시오.
지원되는 형식 (CP/JPG/PNG), 크기 제한, 명시 적 보존/삭제 정책.
워터 마크 ("KYC 만\사이트 ]\[ 날짜]"), 숨겨진 카드 번호/QR.
개인 정보 보호 정책: 저장 수명, 보관 국가 인 타사 (KYC 제공 업체) 로 이전.

7) 모바일 및 앱

ARC/확장없이: 브라우저 (HTML5) 또는 공식 상점 (App Store/Google Play) 에서 재생하십시오.
신청 권한은 최소입니다. "SMS/연락처/통화" 가 없습니다.
공용 Wi-Fi-VPN 및 CUS/카드를 입력하지 않은 경우에만 가능합니다.
OS/브라우저 자동 업데이트가 활성화되었습니

8) 빠른 사이트 감사 (15 분)

1. 라이센스/레지스트리 (2 분): 사이트 번호 및 클릭시 레지스트리의 법인/도메인이 일치합니다.
2. TLS/인증서 (2 분): 잠금 → 인증서 (SAN, 용어, CA); DevTools → TLS 1. 2/1. 3, ECDHE + AES-GCM/ChaCha20.
3. HSTS/리디렉션 (1 분): 강제 HTTPS, 개인 계정/금전 레지스터의 TP 버전이 없습니다.
4. 지불 양식 (4 분): 사이트 코드에서 '이름 =' 카드 번호 '없음 필드/iframe PSP 호스팅; 3D 보안 2. x; 토큰 화; 방법 및 SLA 지불금 게시.
5. 계정 (3 분): 2FA/Passkeys를 켜십시오. 입력/장치의 로그를 확인하십시오. 'HttpOnly/Secure' 쿠키.
6. KYC (3 분): 캐비닛 부트 로더, 개인 정보 보호 정책, 전자 메일 보내기 금지.

9) 안전 매트릭스 (100 포인트)

TLS/Certificate-20 (TLS 1. 2/1. 3, ECDHE + AES-GCM/ChaCha20, CT, HSTS)
결제/PCI-25 (PSP-iframe/redirect, tokenization, 3-DS 2. x, PAN/CVV 스토리지 없음)
세션/2FA-15 (Passkeys/TOTP, 보안 쿠키, 장치 관리)
프론트 보호-10 (CSP, 추천 정책, 프레임 조상, 결제시 타사 스크립트 없음)
KYC/개인 정보 보호-10 (캐비닛 업로드, 저장 시간, 전자 메일 금지)
라이센스/레지스트리-10 (레지스트리를 클릭하고 법인/도메인과 일치)
모바일-5 (ARC/확장 없음, 공식. 스토리)
지불 투명성-5 (방법, 최소/최대, 수수료, SLA, 동일한 방법)
해석: 소 85는 강력한 권장 사항입니다. 75-84-적합; 60-74-평균; <60-피하십시오.

10) 붉은 깃발 (즉시 과거)

로그인/결제 페이지에 HTTPS가없고 내용이 혼합되어 있습
TLS 1. 0/1. 1, 오래된 암호, 자체 서명/만료 된 인증서.
사이트 DOM의 카드 필드 (iframe PSP가 아님); 채팅/메일로 사진 카드/KUS를 보내달라고 요청합니다.
3D Secure 2, 토큰 화 없음; PAN/CVV를 저장합니다.
2FA/Passkeys가 없습니다. 'HttpOnly/Secure' 가없는 쿠키.
게임/결제에 대한 ACA/개선 사항이 필요합니다.
데이터 보존/전송이없는 개인 정보 보호 정책.

11) 검증 카드 템플릿 (한 사이트에서 채우기)

도메인/라이센스/레지스트리 링크
TLS/인증서: 버전/암호/CA/Term/HSTS/CT
지불: PSP-iframe/redirect/3-DS 2/tokenization/방법 및 SLA/동일 방법
계정: 2FA/Passkeys/보안 쿠키/세션 관리
KYC/개인 정보 보호: 캐비닛 업로드/선반 수명/금지 전자 메일
프론트 디펜스: CSP/프레임 조상/추천 정책
모바일: 사무실. 상점/ARA/확장 없음
최종 점수 (0-100):

• 12) FAQ (짧음)

잠금 = 안전? 아니요, 그렇지 않습니다. TLS 버전, 암호, 인증서, HSTS 및 결제 양식의 내장 방법을 참조하십시오.
사이트 자체에 맵을 입력 할 수 있습니까? 더 안전합니다-iframe/redirect PSP를 통해. 사이트가 PAN 자체를 처리하는 경우 PCI DSS (희귀) 를 준수해야합니다.
SMS-2FA 규범? 더 나은 TOTP/FIDO; SMS는 대체품입니다.
채팅 할 KYC 문서? 아니요, 그렇지 않습니다. HTTPS의 캐비닛 부트 로더를 통해서만.

결과

데이터 및 결제의 안전한 입력은 "주소 표시 줄의 잠금" 이 아니라 최신 TLS, HSTS, 놀라움이없는 인증서, 토큰 화가있는 PSP의 결제 양식 및 3D Secure 2, 2FA/Passkeys, 보안 세션 및 캐비닛 KYC 랩로드. 15 분의 감사를 받고 100 포인트 매트릭스로 사이트를 평가하고 적기로 프로젝트를 차단하십시오.이 방법으로 돈을 벌 때 가로 채기 및 데이터 유출의 위험을 최소화합니다.